Gemeinschaft::Lizenzen
Lizenzwechsel von OpenSSL wird konkret
Das OpenSSL-Projekt hat damit begonnen, die von allen Beitragenden benötigte Zustimmung zum Wechsel zur Apache 2.0-Lizenz einzuholen. Kritik kommt unter anderem von OpenBSD-Projektleiter Theo de Raadt.
Mirko Lindner
Seit dem August 2015
gibt es bereits Pläne, die Lizenz von OpenSSL zu Apache 2.0 zu ändern. Damals hatte das Projekt allerdings noch ganz andere Sorgen und eine Menge Aufräumarbeiten vor sich, bevor die Änderung konkret angegangen werden konnte.
Doch nun ist es soweit. Die Core Infrastructure Initiative, ein Projekt der Linux Foundation zur Unterstützung von essentiellen Projekten wie OpenSSL, hat angekündigt, dass der Wechsel zur Apache 2.0-Lizenz beschlossene Sache ist. Die Umsetzung erfordert allerdings die Zustimmung aller Autoren, die jemals Beiträge zu OpenSSL geleistet haben - zumindest, wenn diese signifikant waren. Zu diesem Zweck hat das Projekt ermittelt, welche Beiträge von welchen Autoren stammen. Da dieser Prozess jedoch automatisiert wurde, lassen sich Fehler nicht ganz ausschließen. Dennoch ist sich OpenSSL, das auch vom Software Freedom Law Center (SFLC) beraten wurde, sicher, die Lizenzänderung in vorbildlicher und rechtlich einwandfreier Weise durchführen zu können.
Das Verfahren sieht vor, jeden der gut 400 Beitragenden per E-Mail zu kontaktieren und um Zustimmung zu bitten. Auf der eigens eingerichteten Seite license.openssl.org können sich Betroffene eingehender informieren. Erhält das Projekt nach einer gewissen Zeit keine Antwort, so will es das als Zustimmung werten, bis möglicherweise Gegenteiliges bekannt wird. Wird die Zustimmung verweigert, so muss der betroffene Code allerdings entfernt und durch neuen Code ersetzt werden.
OpenSSL steht zur Zeit unter einer BSD-ähnlichen Lizenz, allerdings mit einigen zusätzlichen Klauseln und Ausnahmen. Durch diese komplexe Lizenz, die nur für OpenSSL gilt, ist es für die Anwender schwierig, vollständige rechtliche Sicherheit bezüglich der Verwendung von OpenSSL zu erhalten. Der Wechsel zu Apache 2.0 wird damit begründet, dass es sich dabei um eine verbreitete Lizenz handelt, die diese Unsicherheiten beseitigt und auch bezüglich Patenten Klarheit schafft. Die Apache-Lizenz 2.0 ist mit fast allen freien Lizenzen kompatibel außer mit der GPLv2 ohne die »oder neuere Version«-Option. Dies ist allerdings schon lange bekannt und dürfte nur wenige Programme betreffen. Die Durchführung der Lizenzänderung dürfte einige Monate in Anspruch nehmen.
Kritik an der Vorgehensweise kam von OpenBSD-Projektleiter Theo de Raadt. Er störte sich, wie mehrere andere Entwickler auch, vor allem an der Regelung, wenn die Antwort eines Autors ausbleibt. Er kontert dies mit einer Parodie auf die OpenSSL-Lizenzänderung, in der er eine Änderung von GCC 4.2.1, der Version, die in OpenBSD enthalten ist, zur ISC-Lizenz. »Wenn wir binnen einer Woche keine Antwort erhalten, gilt das als Zustimmung«. Vorausgesetzt wird, dass alle, die zu GCC bis 4.2.1 beigetragen haben, die Mailingliste »openbsd-tech« lesen.